CAPITOLO III – GLI ADEMPIMENTI IN PRATICA E ALCUNI CASI PARTICOLARI
3.5 Caso particolare: il badge
3.4 Caso particolare : the internal auditing
Il soggetto che ricopre la funzione di audit interno ha il compito di verificare le procedure interne dell’azienda e di analizzarle, con lo scopo di rendere i processi più efficienti. Solitamente la posizione è ricoperta da un dipendente dell’azienda. Il potere di analisi dell’audit comprende al suo interno anche il controllo della prestazione lavorativa degli altri dipendenti, attività che concerne sicuramente il trattamento dei dati degli stessi; la categoria dei dati raccolti può variare (esempi a riguardo potrebbero essere il tempo impiegato per la lavorazione di un determinato prodotto, la durata delle pause ecc...). Il Garante per la protezione dei dati si è espresso in merito indicando la necessità di autorizzare, come “incaricato del trattamento”, l’audit interno; altri adempimenti sono la consegna dell’informativa con indicazione delle modalità di trattamento dei dati raccolti ma soprattutto la predisposizione di sistemi di sicurezza dei dati raccolti e la raccolta del consenso. In merito a quest’ultima raccomandazione si deve pensare che l’analisi ai fini dell’efficienza aziendale non riguarda direttamente il rapporto di lavoro; le finalità e i mezzi del trattamento sono diversi. E’ necessario quindi il consenso perché l’analisi esula dal mero rapporto di lavoro stipulato tramite contratto.
3.5 Caso particolare : il badge
L’art. 4 comma 2 dello Statuto dei lavoratori non prevede (oltre che per gli strumenti di lavoro) la necessità di accordo con le rappresentanze sindacali o l’autorizzazione della DTL, anche per gli “strumenti di registrazione delle presenze”. Nel caso in cui il badge, oltre ad essere uno strumento di rilevazione delle presenze, abbia anche altre funzionalità, allora in questo caso è ritenuto strumento di controllo a distanza dei lavoratori e ricadrebbe nel comma 1. A proposito si porta come esempio la sentenza della Suprema Corte n. 17.531/2017, che ha stabilito che la rilevazione dei dati di entrata e uscita dall'azienda abbinata alla captazione di altri dati (quali le sospensioni, i permessi, le pause) mediante un'apparecchiatura di controllo
predisposta dal datore di lavoro con sistema RFID47 rientri nella fattispecie prevista
dall'articolo 4, comma 1, L. 300/1970, che richiede l’accordo sindacale ovvero l’autorizzazione dell’Ispettorato del lavoro.
47Letteralmente “Radio Frequency Identification”. E’ un sistema di radiofrequenza passivo che registra i movimenti del badge trasmettendo onde radio dal chip inserito nel dispositivo al rilevatore.
39 CONCLUSIONI
E’ risaputo che il lavoratore è la parte debole nel contratto li lavoro e proprio per questo motivo è tutelato non solo dall’art.4 dello Statuto dei Lavoratori ma anche dalla normativa Privacy. Il datore di lavoro, dal canto suo, ha diritto ad ottenere l’adempimento dell’obbligazione lavorativa e di tutelare i propri interessi nel caso in cui il lavoratore sia inadempiente. Prima del Regolamento UE 2016/679 il datore di lavoro poteva fare affidamento sul completamento di una “checklist” per essere conforme alla disciplina privacy, senza rischiare di rendere inutilizzabili i dati raccolti dagli impianti audiovisivi istallati secondo le modalità dell’art.4 o dagli strumenti di lavoro. La sensazione attuale è molto diversa dal passato: l’usanza era quella di non prestare molta attenzione alla privacy; attualmente sembra invece che il potere disciplinare del datore di lavoro sia stato investito completamente dalla riforma e ne sia per alcuni lati anche “sottomesso”. I nuovi adempimenti richiedono risorse e spendita di tempo sostanziosi e l’esborso in termini relativi è sicuramente maggiore per le piccole-medie imprese che non godono di sistemi adatti a far fronte a cambiamenti così repentini della normativa. Molto probabilmente il Garante Europeo era da un lato indirizzato a colpire i “colossi” del momento, che trattano quantità di dati mastodontiche, anche se dall’altro mirava a predisporre un quadro uniforme della materia. Ovviamente il Regolamento è disponibile già dall’anno 2016 e in molti altri Paesi europei gli organi competenti hanno attivato già da tempo il processo di adeguamento; in Italia, forse a causa di problematiche economiche più ampie, l’attenzione si è concessa solo a ridosso della scadenza e adesso si cerca di porre rimedio anche se il decreto di attuazione è ancora in fase di elaborazione (per ora la data di rimando è il 21 agosto 2018). L’autorità francese (CNIL) ha ufficializzato, tramite comunicato, che nei primi 6 mesi di entrata in vigore del Regolamento ci sarà tolleranza purché i titolari del trattamento dimostrino l’avvio del processo di adeguamento; anche se informalmente, il Garante italiano ha condiviso la presa di posizione del Cnil48. Tuttavia, con la deliberazione n. 437 del 26 luglio 2018, ha stabilito che per il periodo che va da luglio a dicembre 2018 sono programmati n. 30 accertamenti ispettivi effettuati anche a mezzo della Guardia di Finanza. La delibera informa anche la possibilità dell’Ufficio di avviare ulteriori attività istruttorie di carattere ispettivo in relazione a segnalazioni o reclami proposti.
48
40
La superficialità con la quale si è sempre affrontata la materia della privacy è la conseguenza delle sanzioni forse non troppo salate. Il sistema sanzionatorio prima dell’avvento del Regolamento era composto da:
- per le violazioni dello Statuto dei Lavoratori: ammenda da € 154,00 ad € 1.549,00 o arresto da 15 giorni ad un anno, salvo che il fatto non costituisca un reato più grave49; ammessa prescrizione ex art. 15, D.lgs. 124/2004 di euro € 387,25 (non applicabile per i
“casi più gravi” individuati dal Ministero del Lavoro50
);
- per le violazioni del Codice Privacy: in caso di trattamento illecito dei dati acquisiti si
applicava l’art.167 D.lgs. n.196/200351 (reato penale tipico); nel caso di difetto
dell’informativa la sanzione prevista era da € 6.000,00 ad € 30.000,0052.
Il reato penale in caso di trattamento illecito dei dati, considerando che il GDPR sostituisce di fatto il Codice Privacy (che peraltro dovrebbe essere abrogato dal decreto attuativo), cesserebbe di esistere, salvo intervento specifico del legislatore. La stessa deduzione vale anche per il reato legato alla violazione delle norme sul controllo a distanza dei lavoratori dove la sanzione penale rimanda alle sanzioni dell’art.38 dello Statuto dei Lavoratori. Si capisce palesemente che l’intervento legislativo per evitare dubbi è necessario, per non dire obbligatorio.
Per quanto riguarda l’omessa o l’inidonea elaborazione dell’informativa, la sanzione ha fatto “un balzo” dal massimo previsto dal Codice Privacy, ovvero € 30.000,00, alla possibilità di vedersi applicare fino a venti milioni di euro o, per le imprese, il 4% del fatturato. Che sia un deterrente o la situazione effettiva, è sicuramente consigliata la rielaborazione delle informative e l’attenzione ai casi in cui la consegna è obbligatoria, soprattutto quando si parla di strumenti di lavoro.
Ci si trova quindi in una posizione di stallo: è meglio elaborare un programma di adeguamento ponderato, che richiede più tempo, o cercare di sistemare quello che già si era predisposto per gli anni precedenti in modo disordinato? Sicuramente il suggerimento risiede della prima parte della domanda, ma per chi in materia di privacy ne sa poco oppure niente, destreggiarsi in un contesto poco chiaro, e per alcuni aspetti non ancora ben definito, può
49
Art. 38, Legge 20 maggio 1970, n. 300.
50MINISTERO DEL LAVORO (2016) “nota n. 4343/2016”. I casi indicati riguardano, in sintesi, violazioni pesanti del lavoratore come la ripresa nelle zone di pausa aziendali, la rilevazione di dati idonei a individuare l’origine razziale, la vita, le abitudini sessuali... (e in generale tutti i c.d. dati sensibili).
51
Prevista la reclusione da sei a diciotto mesi; in casi di diffusione dei dati la reclusione si estende per un periodo da sei a ventiquattro mesi; in caso di profitto derivante da nocumento (Danno che altera o interrompe la funzionalità o l'efficacia di un fatto naturale) la reclusione va da uno a tre anni.
52
41
comportare la possibilità di incappare in situazioni tutt’altro che gradite. A tal proposito, la risposta del mercato ha visto la proliferazione di società e di professionisti che offrono assistenza e formazione in materia nonché il debutto di software per la gestione della privacy. In particolare, i nuovi software permettono di elaborare documenti standardizzati (come gli atti di nomina, la valutazione d’impatto, il registro dei trattamenti ecc...) sulla base dei dati inseriti attraverso una procedura guidata che individua, in base alle caratteristiche aziendali, gli adempimenti obbligatori e quelli facoltativi. Sicuramente, l’assistente privacy potrebbe essere una valida opportunità di business soprattutto per quei professionisti (avvocati e commercialisti) che vogliono costruire un portafoglio di servizi completo, costituito certamente dai servizi “base” identificativi della loro professione, ma anche dall’offerta di assistenza ad aspetti che concernono altri lati della vita aziendale. Potrebbe essere anche un “aiuto” alla redditività degli studi professionali che hanno visto ridimensionarsi le attività a causa di nuovi strumenti normativi quali la fatturazione elettronica e la dichiarazione precompilata.
Nell’epoca del cambiamento, il General Data Protection Regulation costituisce sicuramente una rivoluzione culturale, soprattutto per quelle aziende che hanno trattato il tema della privacy con superficialità e indifferenza; se da un lato, la modifica dell’art.4 dello Statuto dei Lavoratori aveva comportato un ridimensionamento delle tutele dei lavoratori, dall’altro, la mano del Legislatore europeo ha cercato, in qualche modo, di riequilibrare l’ago della bilancia.
Si attende adesso l’intervento del Legislatore italiano: il fatto vanificherà i nobili ideali del Regolamento o ci sarà un adeguamento effettivo alla disciplina?
43
Bibliografia
BARRACO, E., 2016. POTERE DI CONTROLLO E PRIVACY 2016. 1° ed. Milano: Wolters Kluver Italia
BOTTINI, A., & PUCCI, P., a cura di., 2018. Conto alla rovescia per la nuova privacy. Il Sole
24ORE, Norme & Tributi (25 aprile), pag. 14.
CANDINI, A., & FINOCCHIARO, G., a cura di., 2018. Conto alla rovescia per la nuova privacy. Il Sole 24ORE, Norme & Tributi (25 aprile), pag. 11.
CARDARELLO, C., D' AMORA, F., & FIORE, F., a cura di., 2018. Adempimenti privacy
per professionisti e aziende. Milano: Giuffrè Editore. Pag. 213-216.
COLOMBO, D., a cura di., 2018. Privacy, rischi da valutare subito. Il Sole 24ORE, Norme &
tributi (23 aprile), pag. 31.
CORAGGIO, G., a cura di., 2018. L'ufficio legale va coinvolto sin dalla fase di progettazione.
Il Sole 24ORE, Lavoro (25 aprile), pag. 9.
DE NICOLA, A., PIZZETTI, F., & ROTUNNO, I., a cura di., 2018. L'ESPERTO
RISPONDE - Privacy. Le nuove regole tra opportunità e sfide. Il Sole 24ORE, #135 (21 maggio), pag. 3 - 15.
FINOCCHIARO, G., & RATTI, M., a cura di., 2018. Dati personali ad ampio spettro, sono compresi anche quelli del GPS. Il Sole 24ORE, Norme & Tributi (25 aprile), p. 4.
IMPERIALI, R., a cura di., 2018. Nei primi sei mesi ci sarà tolleranza. Il Sole 24ORE, Norme
& Tributi (25 aprile), pag. 3.
INGRAO, A., 2017. Il controllo disciplinare e la privacy del lavoratore dopo il Jobs Act.
Rivista Italiana del Diritto del Lavoro, fasc.1, pag 46-51.
LAMBROU, M., 2018. Dati da proteggere nel lavoro agile. Il Sole 24ORE, Norme & Tributi (4 giugno), pag. 30.
POLETTI, D., 2017. IL C.D. DIRITTO ALLA DISCONNESSIONE NEL CONTESTO DEI « DIRITTI DIGITALI ». Responsabilita' Civile e Previdenza, fascicolo 1-2017, pag. 7-10.
44
ROTONDI, F.. 2018. PRIVACY E HUMAN RESOURCES, La selezione del personale La
gestione dei rapporti di lavoro L'accesso ai dati dei dipendenti Strumenti di controllo.
Milano: Wolters Kluwer Italia.
VALLEBONA, A., (2017). Breviario di diritto del lavoro. Torino: Giappichelli, 2017.
Sitografia
AGOSTINI, C., 2017. Dati personali dei lavoratori: il WP29 aggiorna le regole del
trattamento alla luce delle nuove tecnologie informatiche e del GDPR. Disponibile su:
<http://www.replegal.it: http://www.replegal.it/it/privacy-data-protection1/item/1387- dati-personali-dei-lavoratori-il-wp29-aggiorna-le-regole-del-trattamento-alla-luce-delle-%E2%80%A6%206/6> [data di accesso: 01/08/2018].
ARTICLE 29 DATA PROTECTION WORKING PARTY, 2017. Opinion 2/2017 on data
processing at work [online]. Disponibile su:
<http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=610169> [data di accesso: 26/07/2018].
BIANCHI, D., 2017. COMUNICAZIONE DATI AL TERZO. LA PRIVACY UE NON OBBLIGA LO STATO MEMBRO [online]. Ridare.it, fascicolo 7 (nota a sentenza Corte giustizia UE , 04 maggio 2017, n.13, sez. I). Disponibile su:
<https://www.iusexplorer.it/Dejure/Dottrina?idDocMaster=6306243&idDataBanks=9 9&idUnitaDoc=0&nVigUnitaDoc=1&pagina=0&NavId=1149429260&pid=19&IsCor r=False> [data di accesso: 25/06/2018].
BUTTARELLI, G.. 2018. La rivoluzione copernicana del 25 maggio 2018 in materia di
privacy La imminente applicazione del Regolamento europeo (GDPR) sulla protezione dei dati personali [online]. Lavoro, Diritti, Europa - Rivista nuova del
diritto del lavoro, estratto 1, pag. 5. Disponibile su:
<https://www.lavorodirittieuropa.it/images/articoli/pdf/ARTICOLO_BUTTARELLI.p df> [data di accesso: 30/06/2018].
CASSARO, M., 2018. Aspetti pratico-operativi e riflessi del nuovo GDPR nell'ambito del
45
<http://ilgiuslavorista.it/articoli/focus/aspetti-pratico-operativi-e-riflessi-del-nuovo-GDPR-nell'-ambito-del-rapporto-di-lavoro> [data di accesso 25/06/2018].
CASSARO, M., 2018. Impianti audiovisivi ed altri strumenti di controllo: chiarimenti
dell'Ispettorato Nazionale del Lavoro [online]. Disponibile su:
<http://ilgiuslavorista.it/node/8967?ticket=AQIC5wM2LY4Sfcy6M43K> [data di accesso: 25/06/2018].
CNIL (s.d.). Sous traitance: exemple de clauses.Disponibile su <https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses> [data di accesso: 28/07/2018].
CYBERLAWS, 2018. Bozza aggiornata (10 mag.) del nuovo Codice Privacy 2018. Schema
del decreto [online]. Disponibile su:
<https://www.cyberlaws.it/wp-content/uploads/2018/05/Nuova_Bozza_Decreto_Privacy_CyberLaws.pdf> [data di accesso: 25/06/2018].
DA VALLE, G., 2016. La riforma dell’art. 4 dello “Statuto dei Lavoratori”: i punti fermi e le incertezze interpretative della nuova disciplina sui controlli a distanza [online].
Disponibile su: <
https://www.entilocali-online.it/la-riforma-dellart-4-dello-statuto- dei-lavoratori-i-punti-fermi-e-le-incertezze-interpretative-della-nuova-disciplina-sui-controlli-a-distanza/> [data di accesso: 19/08/2018]
FESTA, M., & ROMANO, C., 2018. Dispositivi aziendali: il trattamento dei dati mediante
sistemi di localizzazione geografica [online]. Disponibile su:
<http://www.quotidianogiuridico.it/documents/2018/06/11/dispositivi-aziendali-il-trattamento-dei-dati-mediante-sistemi-di-localizzazione-geografica> [data di accesso: 25/06/2018].
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, 2018. Guida all'applicazione
del Regolamento Europeo in materia di protezione dei dati personali [online].
Disponibile su:
<https://www.garanteprivacy.it/documents/10160/0/Guida+all+applicazione+del+Reg olamento+UE+2016+679.pdf> [data di accesso 28/06/2018].
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, 2018. Provvedimento n. 437
del 26 luglio 2018 [online]. Disponibile su:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9025338 [data di accesso 01/08/2018].
46
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, 2018. Provvedimento n. 232
del 18 aprile 2018 [online]. Disponibile su:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9358266 [data di accesso 30/06/2018].
GAROFALO, L., 2018. Impronte digitali per i furbetti del cartellino. L’idea della ministra
Bongiorno fa discutere ma è a prova di privacy [online]. Disponibile su:
<https://www.key4biz.it/impronte-digitali-contro-i-furbetti-del-cartellino-lidea-della-ministra-bongiorno-fa-discutere-ma-e-a-prova-di-privacy/225350/> [data di accesso: 25/06/2018].
GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI, 2014. Parere
6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE [online]. Disponibile su:
<http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_it.pdf> [data di accesso 29/06/2018].
GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI, 2017. Linee
guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" [online].
Disponibile su: <https://www.garanteprivacy.it/documents/10160/0/WP+248+-+Linee-guida+concernenti+valutazione+impatto+sulla+protezione+dati> [data di accesso 28/06/2018].
GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI, 2017. Linee
guida sui responsabili della protezione dei dati [online]. Disponibile su:
<https://www.garanteprivacy.it/documents/10160/0/WP+243+-+Linee-guida+sui+responsabili+della+protezione+dei+dati+%28RPD%29.pdf> [data di accesso: 12/07/2018].
HUGE, S., 2017. L'art. 4 Statuto dei Lavoratori dopo la riforma di cui D.Lgs 151/2015:
vecchie e nuove prospettive. [online]. Disponibile su:
<www.giuslavoristi.it/wp-content/uploads/2017/02/Sara-Huge-Art.-4-S.L.-07.03.2017.pdf> [data di accesso: 07/07/2018].
ISPETTORATO NAZIONALE DEL LAVORO (s.d). Circolare n.5 del 19 febbraio 2018 [online]. Disponibile su:
<https://www.ispettorato.gov.it/it-47
it/orientamentiispettivi/Documents/Circolari/INL-Circolare-n-5-del-19-febbraio-2018-Videosorveglianza-signed.pdf> [data di accesso 02/07/2018].
MINISTERO DEL LAVORO E DELLE POLITICHE SOCIALI (s.d). Comunicato stampa
del 18 giugno 2015 [online]. Disponibile su: <
http://www.lavoro.gov.it/stampa-e-media/Comunicati/Pagine/20150618-Controlli-a-distanza.aspx> [data di accesso 19/08/2018].
PEDRONI, F., 2018. Posizionamento delle telecamere e difensività come condizioni di liceità
del controllo a distanza non autorizzato [online]. Disponibile su:
<http://ilgiuslavorista.it/node/8788?ticket=AQIC5wM2LY4Sfcy6M43K> [data di accesso: 26/06/2018].
SAETTA, B., 2018. European Data Protection Board (WP29) [online]. Disponibile su: <https://protezionedatipersonali.it/gruppo-di-lavoro-art-29> [data di accesso: 28/07/2018].
VICARELLI, C., 2016. Jobs Act, controllo del lavoratore e utilizzabilità dei dati [online].
Disponibile su: <
https://www.cristina-vicarelli.it/blog/privacy-protezioni-dati-personali/jobs-act-controllo-del-lavoratore-utilizzabilita> [data di accesso: 19/08/2018].
ZAPPATERRA, G., & ROSATI, E., 2018. GDPR: il legittimo interesse rende lecito il
trattamento dei dati [online]. Disponibile su:
<http://www.quotidianogiuridico.it/documents/2018/06/14/gdpr-il-legittimo-interesse-rende-lecito-il-trattamento-dei-dati> [data di accesso: 25/06/2018].
ZICCARDI, G., 2016.Jobs Act e modifiche allo Statuto dei Lavoratori: problemi applicativi
[online]. Disponibile su: <
http://www.ipsoa.it/documents/lavoro-e- previdenza/rapporto-di-lavoro/quotidiano/2016/02/25/jobs-act-e-modifiche-allo-statuto-dei-lavoratori-problemi-applicativi#> [data di accesso: 19/08/2018].
48
Fonti normative
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
L. 20 maggio 1970, n. 300 - Statuto dei Lavoratori
L. 10 dicembre 2014, n. 183.
L. 25 ottobre 2017, n. 163
D.l. 30 giugno 2003, n. 196 - Codice in materia di protezione dei dati personali
D.l. 14 settembre 2015, n. 151
Giurisprudenza
Cass. sez. lav., 3 aprile 2002, n. 4746 in Lavoro nella Giur., 2005, 9, 837
Cass. sez. lav., 23 febbraio 2012, n. 2722 in Dir. e Pratica Lav., 2017, 19, 1166 (commento alla normativa)
Cass. sez. lav., 17 febbraio 2015, n. 3122 in Ilgiuslavorista.it del 31/03/2015
Cass. sez. lav., 14 luglio 2017, n. 17531 in Ilgiuslavorista.it del 29/09/2017
Corte Europea dei Diritti dell'Uomo, sez. III, 9 gennaio 2018, (ricorsi n. 1874/13 e 8567/13) in Argomenti Dir. Lav., 2018, 2, 499 (nota a sentenza)
Conferenze
SCHIAVIONE, R., 2018. Master di specializzazione erogato da Euroconference – Centro Studi Lavoro e Previdenza. “Gestione della privacy nei rapporti di lavoro”; Venezia, in data 23/05/2018 e 30/05/2018.